Cybersécurité & RGPD : Les actus à ne pas manquer de juillet 2025 

Entre deux orages (ou deux barbecues), l’actu RGPD, cyber et IA n’a pas chômé. 

Comme chaque mois, on a trié, synthétisé, clarifié — pour vous livrer le meilleur de ce qu’il ne fallait pas louper, sans jargon ni pavés indigestes. (Enfin, on essaie.)

Alors, on fait le point ? C’est parti !  

La CNIL muscle (encore) sa position sur l’IA 

Cet été, la CNIL a sorti l’artillerie réglementaire pour rappeler que l’IA ne doit pas faire sa vie en solo. Deux actualités à retenir :  

1. L’IA, oui — mais pas à n’importe quel prix RGPD 

Le 22 juillet, l’autorité a publié de nouvelles fiches pratiques sur le développement des systèmes d’IA. Au programme : 

• Quand est-ce qu’un modèle d’IA entre dans le champ du RGPD ? 

• Comment sécuriser l’annotation des données d’entraînement ? 

• Et surtout, quelles garanties de sécurité mettre en place dès la phase de dev. 

La CNIL insiste aussi sur les cas concrets à venir : santé, travail, éducation… Chaque secteur aura droit à ses propres lignes directrices pour cadrer les usages. Et bonne nouvelle : des outils techniques (comme le projet PANAME, développé avec l’ANSSI) sont aussi dans les tuyaux pour aider les pros à passer de la théorie à l’action. 

Elle fait aussi un focus sur quand mobiliser (ou pas) l’intérêt légitime pour développer votre IA — qu’on vous a résumé ici.  

🔗 Source : CNIL 

2. Caméras "augmentées" dans les bureaux de tabac : la CNIL dit non 

Autre actualité marquante : le recadrage des caméras IA censées estimer l’âge des clients dans les bureaux de tabac. 

La CNIL a jugé leur usage ni nécessaire, ni proportionné. Pourquoi ? 

Parce qu’elles analysent tous les visages en continu, y compris ceux de personnes manifestement majeures, sans laisser la possibilité de s’y opposer. Le tout pour une simple estimation — qui n’exempte pas les buralistes de vérifier une carte d’identité derrière. Bref : pas vraiment un progrès, côté vie privée. 

L’autorité préfère miser sur des applis de preuve de majorité plus respectueuses, comme le futur “mini-wallet” européen.  

🔗 Source : CNIL  

X visé par une enquête en France 

Le réseau social X (ex-Twitter) est désormais dans le viseur de la justice française, soupçonné d’avoir manipulé ses algorithmes à des fins d’ingérence étrangère. 

L’enquête, ouverte le 9 juillet par le parquet de Paris, vise la plateforme en tant que personne morale… mais aussi ses dirigeants. Deux infractions graves sont citées : 

• altération du fonctionnement d’un système de traitement automatisé, 

• extraction frauduleuse de données, 
   

Rien que ça. Et avec à la clé : jusqu’à 10 ans de prison et 300 000 € d’amende. 

D’où ça vient ? 

Deux signalements ont mis le feu aux poudres en janvier : 

• celui du député Éric Bothorel, inquiet d’un manque de transparence sur la modération et l’algorithme, 

• et celui d’un haut responsable cybersécurité, alertant sur la remontée massive de contenus haineux, racistes ou anti-LGBT+ dans le fil des utilisateurs. 

Tous deux pointent un tournant idéologique depuis la prise de contrôle d’Elon Musk. 

Affaire à suivre de très près. 

🔗 Source : Les Echos 

DeepSeek signalé comme contenu illégal par l’Allemagne 

C’est l’une des premières fois qu’un pays européen active officiellement le DSA (Digital Service Act) pour tenter de faire retirer une application des stores. 

L’appli en question ? DeepSeek, un assistant IA chinois… qui transfèrerait massivement des données personnelles vers la Chine sans la moindre garantie légale. 

Ce que reproche la commissaire berlinoise 

Le 27 juin, Meike Kamp, chargée de la protection des données à Berlin, a signalé DeepSeek comme “contenu illégal” auprès de Google et Apple. Son objectif ? Forcer son retrait rapide de leurs stores — et donc de l’Allemagne. 

Pourquoi ? Parce que l’appli : 

• collecte des données sensibles (conversations, fichiers, localisation, etc.), 

• les envoie à des sous-traitants en Chine, 

• sans cadre juridique valide (pas de décision d’adéquation, pas de clauses types, pas de garanties contractuelles). 

Autrement dit : une violation nette de l’article 46 du RGPD. 

Ce que dit le DSA dans tout ça ? 

Face à l’inaction de DeepSeek, les autorités ont mobilisé l’article 16 du Digital Services Act, qui permet à un régulateur national de signaler un contenu comme illégal et d’en demander le retrait à la plateforme qui le distribue (ici : Google Play et App Store). 

Une première salve de digital enforcement, et un signal fort : les États peuvent (et veulent) faire pression sur les plateformes, pas uniquement sur les éditeurs. 

🔗 Source : Incyber News  

Le Royaume-Uni s’attaque aux ransomwares 

Le Royaume-Uni s’attaque de front au modèle économique des ransomwares. Le gouvernement propose d’interdire aux administrations publiques de payer une rançon en cas de cyberattaque — un virage stratégique qui vise à affaiblir la chaîne de financement des cybercriminels. 

Pourquoi cette mesure maintenant ? 

Parce qu’en 2023, les gangs de ransomwares ont encaissé plus de 1,1 milliard de dollars à l’échelle mondiale. Et parce que payer… ne garantit rien. Selon Sophos, seules 8 % des entreprises ayant cédé ont récupéré toutes leurs données. Dans un cas sur trois, même la moitié des données n’a pas été restaurée. 

Et côté privé ? 

Les entreprises “non concernées” par l’interdiction pourraient être obligées de notifier l’État si elles envisagent de payer une rançon. Objectif : permettre aux autorités de conseiller la bonne posture réglementaire — et éviter d’enrichir un groupe déjà sanctionné, ce qui serait illégal. 

Une troisième mesure dans les cartons 

L’exécutif britannique planche aussi sur un signalement obligatoire pour toute victime de ransomware, quel que soit son secteur. Une logique déjà partiellement en place en France, notamment pour les responsables de traitement soumis au RGPD. 

L’idée est double : mieux identifier les groupes d’attaquants et accompagner plus efficacement les victimes. 

🔗 Source : L’Usine Digitale 

AI Act : entre ralliements, lobbying et passage à l’action 

L’AI Act entre dans sa phase active.  

Dès le 2 août 2025, plusieurs volets du règlement européen sur l’intelligence artificielle deviennent effectifs. Et, déjà, les positions se cristallisent. 

Ce qui change dès le 2 août 

À cette date, les acteurs de l’IA devront :  

• Identifier les organismes notifiés compétents pour évaluer la conformité de leurs systèmes d’IA. 

• Documenter précisément leur modèle IA à usage général (GPAI) : description technique, données d’entraînement, mécanismes de transparence. 

• Mettre en place ou désigner une structure interne de gouvernance et de supervision des systèmes IA. 

• Préparer des procédures de confidentialité et de conformité aux exigences de l’article 78 (obligations de discrétion). 

En clair : le cadre est posé, les règles s’appliquent, les autorités se mettent en ordre de marche. Vous n’êtes pas conformes ? Vous pouvez être sanctionnés jusqu’à 7% du chiffre d’affaires.  

Microsoft, OpenAI et Mistral : les bons élèves 

Anticipant ce virage, trois poids lourds de l’IA — Microsoft, OpenAI et Mistral AI — ont annoncé leur intention de signer le code de bonnes pratiques de la Commission européenne afin de renforcer le dialogue avec l’UE et gagner en crédibilité.  

Meta, en désaccord frontal 

À l’inverse, Meta refuse catégoriquement de signer. Joel Kaplan (Chief Global Affairs Officer) accuse le code de générer “des incertitudes juridiques” et d’aller “bien au-delà du champ de l’AI Act”. 

Un bras de fer de plus entre Meta et l’UE, dans la lignée de ses difficultés à déployer ses IA génératives sur le continent. 

Les grands patrons appellent au sursis 

Et ce n’est pas fini : 46 grands patrons européens — dont Arthur Mensch (Mistral), Patrick Pouyanné (Total), Alexandre Bompard (Carrefour) ou Guillaume Faury (Airbus) — ont adressé une lettre ouverte à Ursula von der Leyen.  Ils demandent un moratoire de deux ans sur la mise en œuvre du règlement, dénonçant des règles “peu claires, qui se chevauchent et deviennent de plus en plus complexes”. 

En ligne de mire : le risque de freiner l’innovation, de pénaliser les acteurs européens, et de créer un déséquilibre concurrentiel face aux géants américains et chinois. 

Un lobbying assumé, qui rappelle celui des Big Tech US — avec, en coulisses, des discussions intenses entre Bruxelles et plusieurs groupes américains sur une version plus souple du texte. 

Sources : 01net - Siècle Digital  

Les cyberattaques du mois 

Il paraît que les hackers n’ont pas de grandes vacances. La tendance ne faiblit pas, au contraire.  

Juste pour donner un ordre d’idées : plus de 11 millions de comptes compromis en France au deuxième trimestre 2025. Résultat : l’Hexagone grimpe à la 2e place mondiale des pays les plus touchés par les violations de données, juste derrière les US. 

Maintenant, place aux attaques les plus marquantes du mois de juillet :   

• Orange : des services perturbés, mais aucune donnée compromise 

  Mi-juillet, Orange a été la cible d’une cyberattaque provoquant des perturbations sur plusieurs de ses services. L’opérateur assure qu’aucune donnée client n’a été compromise, mais a tout de même déposé plainte auprès du parquet de Paris. À ce stade, peu de détails sur le mode opératoire, mais l’entreprise promet un retour progressif à la normale. 

  🔗 Source : Le Monde Informatique

• France Travail : visée encore par une nouvelle attaque 
  L’opérateur public de l’emploi a confirmé une nouvelle attaque ayant permis l’exfiltration de données personnelles de 340 000 demandeurs d’emploi. Les cybercriminels ont profité d’un vol d’identifiants d’un conseiller pour accéder au système. Déjà visée par une précédente attaque de grande ampleur, France Travail devient une cible récurrente à haut risque. 

  🔗 Source : Blog Digital

• Microsoft SharePoint : une faille activement exploitée 
  Une vulnérabilité critique dans Microsoft SharePoint (référencée CVE-2023-29357) est activement exploitée, malgré la disponibilité d’un correctif depuis juin 2023. Cette faille permet de prendre le contrôle d’un serveur sans authentification. Microsoft exhorte à appliquer immédiatement les mises à jour de sécurité. 

  🔗 Source : L’Usine Digitale 

• Hôpital privé de la Loire : 126 000 patients concernés 

  Une cyberattaque a visé un établissement de santé privé dans la Loire, avec pour conséquence le vol de données médicales de 126 000 patients. Sont concernés : identité, date de naissance, numéro de sécu, mais aussi compte-rendus médicaux. Une enquête est en cours. 

  🔗 Source : Ouest France 

• Cour pénale internationale : nouvelle cyberattaque ciblée 

  La CPI, déjà visée par une attaque en 2023, a subi une nouvelle offensive sophistiquée. Peu d’infos sur les auteurs ou l’ampleur des dégâts, mais l’institution confirme qu’il s’agit d’une attaque “délibérée et ciblée” contre son infrastructure critique. 

  🔗 Source : Le Monde Informatique 

AI Overviews : Les éditeurs déclarent la guerre à Google 

Un groupement d’acteurs indépendants a déposé plainte auprès de la Commission européenne, visant le module “AI Overviews” du moteur de recherche. L’argument ? Ce système de réponses générées par IA aspirerait leur contenu sans consentement — tout en leur faisant perdre trafic, lectorat… et revenus. 

Ce que reprochent les éditeurs 

Déployée dans une dizaine de pays européens (pas en france), la fonctionnalité “AI Overviews” affiche un résumé IA en haut des résultats de recherche, juste sous la barre. Le problème ? Les usagers ne cliquent plus. Et, il est mpossible pour les éditeurs d’interdire à Google d’utiliser leur contenu sans disparaître complètement des résultats classiques. 

Pour les plaignants, dont le Movement for an Open Web et Foxglove Legal, c’est une forme d’abus de position dominante. Ils réclament des mesures provisoires, évoquant un risque de “préjudice irréparable” pour l’équilibre du marché de l’information. 

🔗 Source : L'Usine Digitale 

Meta condamné pour avoir traqué un utilisateur  

Le 4 juillet, un tribunal allemand a condamné Meta à verser 5 000 € à un utilisateur de Facebook, suivi à son insu via les “Business Tools” de la plateforme. 
Ces outils, intégrés à des sites tiers, permettent de traquer les internautes même déconnectés, sans transparence sur les données collectées ou leur usage. 

Le juge a aussi pointé des transferts de données vers les États-Unis, non encadrés, et contraires au RGPD. L’affaire repose sur l’article 82, qui permet de réparer les préjudices immatériels liés à une violation des données. 

Une décision qui pourrait encourager d’autres utilisateurs à saisir la justice, alors que le modèle “payer ou consentir” de Meta est déjà dans le viseur de Bruxelles. 

🔗 Source : Le Parisien  

Et voilà, vous êtes à jour !  

Si une actu vous a interpellé, n’hésitez pas à creuser via les liens sources. Et pour les prochaines, restez connectés – on revient fin août avec un nouveau récap’ !